網(wǎng)絡(luò)信息安全保障體系建設(shè)

網(wǎng)絡(luò)信息安全保障體系建設(shè)....附件3網(wǎng)絡(luò)信息安全保障體系建設(shè)方案目錄網(wǎng)絡(luò)信息安全保障體系建設(shè)方案 11、建立完善安全管理體系 11.1成立安全保障機(jī)構(gòu) 12、可靠性保證 22.1操作系統(tǒng)的安全 32.2系統(tǒng)架構(gòu)的安全 32.3設(shè)備安全 42.4網(wǎng)絡(luò)安全 42.5物理安全 52.6網(wǎng)絡(luò)設(shè)備安全加固 52.7網(wǎng)絡(luò)安全邊界保護(hù) 62.8拒絕服務(wù)攻擊防 62.9信源安全/組播路由安全 7網(wǎng)絡(luò)信息安全保障體系建設(shè)方案1、建立完善安全管理體系1.1成立安全保障機(jī)構(gòu)聯(lián)通以及萊蕪聯(lián)通均成立以總經(jīng)理為首的安全管理委員會(huì)，以及分管副總經(jīng)理為組長(zhǎng)的網(wǎng)絡(luò)運(yùn)行維護(hù)部、電視寬帶支撐中心、網(wǎng)絡(luò)維護(hù)中心等相關(guān)部門(mén)為成員的互聯(lián)網(wǎng)網(wǎng)絡(luò)信息安全應(yīng)急小組，負(fù)責(zé)全省網(wǎng)絡(luò)信息安全的總體管理工作。網(wǎng)絡(luò)信息安全保障體系建設(shè)全文共8頁(yè)，當(dāng)前為第1頁(yè)。聯(lián)通以及萊蕪聯(lián)通兩個(gè)層面都建立了完善的部安全保障工作制度和互聯(lián)網(wǎng)網(wǎng)絡(luò)信息安全應(yīng)急預(yù)案，通過(guò)管理考核機(jī)制，嚴(yán)格執(zhí)行網(wǎng)絡(luò)信息安全技術(shù)標(biāo)準(zhǔn)，接受管理部門(mén)的監(jiān)督檢查。同時(shí)針對(duì)三網(wǎng)融合對(duì)網(wǎng)絡(luò)信息安全的特殊要求，已將IPTV等寬帶增值業(yè)務(wù)的安全保障工作納入到統(tǒng)一的制度、考核及應(yīng)急預(yù)案當(dāng)中。容涵蓋事前防、事中阻斷、事后追溯的信息安全技術(shù)保障體系，域名信息登記管理制度IP地址溯源和上網(wǎng)日志留存等。并將根據(jù)國(guó)家規(guī)要求，對(duì)三網(wǎng)融合下防黑客攻擊、防信息篡改、防節(jié)目插播、防網(wǎng)絡(luò)癱瘓技術(shù)方案進(jìn)行建立和完善。網(wǎng)絡(luò)信息安全保障體系建設(shè)全文共8頁(yè)，當(dāng)前為第1頁(yè)。2、可靠性保證IPTV是電信級(jí)業(yè)務(wù)，對(duì)承載網(wǎng)可靠性有很高的要求。可靠性分為設(shè)備級(jí)別的可靠性和網(wǎng)絡(luò)級(jí)別的可靠性。（1）設(shè)備級(jí)可靠性核心設(shè)備需要99.999%的高可靠性，對(duì)關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)，需要采用雙機(jī)冗余備份。此外還需要支持不間斷電源系統(tǒng)（含電池、油機(jī)系統(tǒng)）以保證核心設(shè)備24小時(shí)無(wú)間斷運(yùn)行。（2）網(wǎng)絡(luò)級(jí)可靠性關(guān)鍵節(jié)點(diǎn)采用冗余備份和雙鏈路備份以提供高可靠性。網(wǎng)絡(luò)可靠性包括以下幾方面：接入層：接入層交換機(jī)主要利用STP/RSTP協(xié)議在OSI二層實(shí)現(xiàn)網(wǎng)絡(luò)收斂自愈。網(wǎng)絡(luò)信息安全保障體系建設(shè)全文共8頁(yè)，當(dāng)前為第2頁(yè)。匯聚層：在OSI第三層上使用雙機(jī)VRRP備份保護(hù)機(jī)制，使用BFD、EthernetOAM、MPlSOAM來(lái)對(duì)鏈路故障進(jìn)行探測(cè)，然后通過(guò)使用快速路由協(xié)議收斂來(lái)完成鏈路快速切換。網(wǎng)絡(luò)信息安全保障體系建設(shè)全文共8頁(yè)，當(dāng)前為第2頁(yè)。核心層：在P設(shè)備（Core設(shè)備和CR設(shè)備）上建立全連接LDPoverTE。TE的數(shù)量在200以下。組播業(yè)務(wù)保護(hù)：主要基于IS-IS協(xié)議對(duì)組播業(yè)務(wù)采取快速收斂保護(hù)，對(duì)組播分發(fā)進(jìn)行冗余保護(hù)和負(fù)載分擔(dān)。2.1操作系統(tǒng)的安全在操作系統(tǒng)級(jí)別上，其安全需求主要表現(xiàn)在防止非法用戶(hù)入侵、防病毒、防止數(shù)據(jù)丟失等。防止非法用戶(hù)入侵：系統(tǒng)設(shè)置防火墻，將所有需要保護(hù)的主機(jī)設(shè)置在防火墻部，物理上防止惡意用戶(hù)發(fā)起的非法攻擊和侵入。為業(yè)務(wù)管理人員建立起身份識(shí)別的機(jī)制，不同級(jí)別的業(yè)務(wù)管理人員，擁有不同級(jí)別的對(duì)象和數(shù)據(jù)訪(fǎng)問(wèn)權(quán)限。防病毒：部署防病毒軟件，及時(shí)更新系統(tǒng)補(bǔ)丁。數(shù)據(jù)安全：建立數(shù)據(jù)安全傳輸體系，系統(tǒng)具備完善的日志功能，登記所有對(duì)系統(tǒng)的訪(fǎng)問(wèn)記錄。建立安全的數(shù)據(jù)備份策略，有效地保障系統(tǒng)數(shù)據(jù)的安全性。2.2系統(tǒng)架構(gòu)的安全I(xiàn)PTV運(yùn)營(yíng)管理平臺(tái)具備雙機(jī)熱備份功能，業(yè)務(wù)處理機(jī)、EPG服務(wù)器、接口機(jī)都支持主備功能。網(wǎng)絡(luò)信息安全保障體系建設(shè)全文共8頁(yè)，當(dāng)前為第3頁(yè)。存儲(chǔ)系統(tǒng)能夠支持磁盤(pán)RAID模式，利用RAID5技術(shù)防止硬盤(pán)出現(xiàn)故障時(shí)數(shù)據(jù)的安全。網(wǎng)絡(luò)信息安全保障體系建設(shè)全文共8頁(yè)，當(dāng)前為第3頁(yè)。支持HA（HighAvailability）模式，實(shí)現(xiàn)系統(tǒng)的熱備份，在主用系統(tǒng)故障時(shí)能夠自動(dòng)切換到備用系統(tǒng)，可提供流媒體服務(wù)器多種單元的冗余備份。支持用戶(hù)通過(guò)手工備份功能。并且備份數(shù)據(jù)可保存到外部設(shè)備中。同時(shí)，設(shè)備可通過(guò)分布式部署，保證系統(tǒng)的安全。EPG服務(wù)器、VDN調(diào)度單元、網(wǎng)管均支持分布式處理。2.3設(shè)備安全核心系統(tǒng)（服務(wù)器硬件、系統(tǒng)軟件、應(yīng)用軟件）能在常溫下每周7×24小時(shí)連續(xù)不間斷工作，穩(wěn)定性高，故障率低，系統(tǒng)可用率大于99.9％。具備油機(jī)不間斷供電系統(tǒng)，以保證設(shè)備運(yùn)行不受市電中斷的影響。服務(wù)器平均無(wú)故障時(shí)間（MTBF）大于5,000小時(shí)，小型機(jī)平均無(wú)故障時(shí)間（MTBF）大于10,000小時(shí)，所有主機(jī)硬件三年故障修復(fù)時(shí)間不超過(guò)30個(gè)小時(shí)。2.4網(wǎng)絡(luò)安全網(wǎng)絡(luò)信息安全保障體系建設(shè)全文共8頁(yè)，當(dāng)前為第4頁(yè)。IPTV業(yè)務(wù)承載網(wǎng)絡(luò)直接與internet等網(wǎng)絡(luò)互聯(lián)，作為IP網(wǎng)絡(luò)也面臨各種網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，包括網(wǎng)絡(luò)設(shè)備入侵、拒絕服務(wù)攻擊、路由欺騙、QOS服務(wù)破壞以及對(duì)網(wǎng)絡(luò)管理、控制協(xié)議進(jìn)行網(wǎng)絡(luò)攻擊等，故IPTV承載網(wǎng)絡(luò)的安全建設(shè)實(shí)現(xiàn)方式應(yīng)包括物理安全、網(wǎng)絡(luò)設(shè)備的安全加固、網(wǎng)絡(luò)邊界安全訪(fǎng)問(wèn)控制等容。網(wǎng)絡(luò)信息安全保障體系建設(shè)全文共8頁(yè)，當(dāng)前為第4頁(yè)。2.5物理安全包括IPTV承載網(wǎng)絡(luò)通信線(xiàn)路、物理設(shè)備的安全及機(jī)房的安全。網(wǎng)絡(luò)物理層的安全主要體現(xiàn)在通信線(xiàn)路的可靠性，軟硬件設(shè)備安全性，設(shè)備的備份和容災(zāi)能力，不間斷電源保障等。2.6網(wǎng)絡(luò)設(shè)備安全加固作為IP承載網(wǎng)，首先必須加強(qiáng)對(duì)網(wǎng)絡(luò)設(shè)備的安全配置，即對(duì)網(wǎng)絡(luò)設(shè)備的安全加固，主要包括口令管理、服務(wù)管理、交互式訪(fǎng)問(wèn)控制等措施?？诹畹陌踩芾?，所有網(wǎng)絡(luò)設(shè)備的口令需要滿(mǎn)足一定的復(fù)雜性要求；對(duì)設(shè)備口令在本地的存儲(chǔ)，應(yīng)采用系統(tǒng)支持的強(qiáng)加密方式；在口令的配置策略上，所有網(wǎng)絡(luò)設(shè)備口令不得相同，口令必須定時(shí)更新等；在口令的安全管理上，為了適應(yīng)網(wǎng)絡(luò)設(shè)備的規(guī)?；?，必須實(shí)施相應(yīng)的用戶(hù)授權(quán)及集中認(rèn)證單點(diǎn)登錄等機(jī)制，不得存在測(cè)試賬戶(hù)、口令現(xiàn)象。網(wǎng)絡(luò)信息安全保障體系建設(shè)全文共8頁(yè)，當(dāng)前為第5頁(yè)。服務(wù)管理，在網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)服務(wù)配置方面，必須遵循最小化服務(wù)原則，關(guān)閉網(wǎng)絡(luò)設(shè)備不需要的所有服務(wù)，避免網(wǎng)絡(luò)服務(wù)或網(wǎng)絡(luò)協(xié)議自身存在的安全漏洞增加網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。對(duì)于必須開(kāi)啟的網(wǎng)絡(luò)服務(wù)，必須通過(guò)訪(fǎng)問(wèn)控制列表等手段限制遠(yuǎn)程主機(jī)地址。在邊緣路由器應(yīng)當(dāng)關(guān)閉某些會(huì)引起網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的協(xié)議或服務(wù)，如ARP代理、CISCO的CDP協(xié)議等。網(wǎng)絡(luò)信息安全保障體系建設(shè)全文共8頁(yè)，當(dāng)前為第5頁(yè)?？刂平换ナ皆L(fǎng)問(wèn)，網(wǎng)絡(luò)設(shè)備的交互式訪(fǎng)問(wèn)包括本地的控制臺(tái)訪(fǎng)問(wèn)及遠(yuǎn)程的VTY終端訪(fǎng)問(wèn)等。網(wǎng)絡(luò)設(shè)備的交互式訪(fǎng)問(wèn)安全措施包括：加強(qiáng)本地控制臺(tái)的物理安全性，限制遠(yuǎn)程VTY終端的IP地址；控制banner信息，不得泄露任何相關(guān)信息；遠(yuǎn)程登錄必須通過(guò)加密方式，禁止反向telnet等。2.7網(wǎng)絡(luò)安全邊界保護(hù)網(wǎng)絡(luò)安全邊界保護(hù)的主要手段是通過(guò)防火墻或路由器對(duì)不同網(wǎng)絡(luò)系統(tǒng)之間實(shí)施相應(yīng)的安全訪(fǎng)問(wèn)控制策略，在保證業(yè)務(wù)正常訪(fǎng)問(wèn)的前提下從網(wǎng)絡(luò)層面保證網(wǎng)絡(luò)系統(tǒng)的安全性。IPTV承載網(wǎng)絡(luò)邊界保護(hù)措施主要包括以下兩點(diǎn)：通過(guò)路由過(guò)濾或ACL的方式隱藏IPTV承載網(wǎng)路由設(shè)備及網(wǎng)管等系統(tǒng)的IP地址，減少來(lái)自Internet或其它不可信網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。在IPTV承載網(wǎng)絡(luò)邊緣路由器與其它不可信網(wǎng)絡(luò)出口過(guò)濾所有的不需要的網(wǎng)絡(luò)管理、控制協(xié)議，包括HSRP、SNMP等。2.8拒絕服務(wù)攻擊防拒絕服務(wù)攻擊對(duì)IPTV承載網(wǎng)絡(luò)的主要影響有：占用IPTV承載網(wǎng)網(wǎng)絡(luò)帶寬，造成網(wǎng)絡(luò)性能的下降；消耗網(wǎng)絡(luò)設(shè)備或服務(wù)器系統(tǒng)資源，導(dǎo)致網(wǎng)絡(luò)設(shè)備或系統(tǒng)無(wú)常提供服務(wù)等。網(wǎng)絡(luò)信息安全保障體系建設(shè)全文共8頁(yè)，當(dāng)前為第6頁(yè)。建議IPTV承載網(wǎng)絡(luò)采取以下措施實(shí)現(xiàn)拒絕服務(wù)攻擊的防：實(shí)現(xiàn)網(wǎng)絡(luò)的源IP地址過(guò)濾，在IPTV承載網(wǎng)接入路由器對(duì)其進(jìn)行源IP地址的檢查。關(guān)閉網(wǎng)絡(luò)設(shè)備及業(yè)務(wù)系統(tǒng)可能被利用進(jìn)行拒絕服務(wù)攻擊的網(wǎng)絡(luò)服務(wù)端口及其它網(wǎng)絡(luò)功能，如echo、chargen服務(wù)，網(wǎng)絡(luò)設(shè)備的子網(wǎng)直接廣播功能等。通過(guò)建立網(wǎng)絡(luò)安全管理系統(tǒng)平臺(tái)實(shí)現(xiàn)對(duì)拒絕服務(wù)攻擊的分析、預(yù)警功能，從全局的角度實(shí)現(xiàn)對(duì)拒絕服務(wù)攻擊的監(jiān)測(cè)，做到早發(fā)現(xiàn)、早隔離。網(wǎng)絡(luò)信息安全保障體系建設(shè)全文共8頁(yè)，當(dāng)前為第6頁(yè)。下圖給出了IPTV承載網(wǎng)安全建設(shè)實(shí)現(xiàn)方式圖。2.9信源安全/組播路由安全盡管組播技術(shù)具備開(kāi)展新業(yè)務(wù)的許多優(yōu)勢(shì)，并且協(xié)議日趨完善，但開(kāi)展組播業(yè)務(wù)還面臨著組播用戶(hù)認(rèn)證、組播源安全和組播流量擴(kuò)散安全性的問(wèn)題。網(wǎng)絡(luò)信息安全保障體系建設(shè)全文共8頁(yè)，當(dāng)前為第7頁(yè)。組播源管理：在組播流進(jìn)入骨干網(wǎng)絡(luò)前，組播業(yè)務(wù)控制設(shè)備應(yīng)負(fù)責(zé)區(qū)分合法和非法媒體服務(wù)器，可以在RP上對(duì)組播源的合法性進(jìn)行檢查，如果發(fā)現(xiàn)來(lái)自未經(jīng)授權(quán)的組播源的注冊(cè)報(bào)文，可以拒絕接收發(fā)送過(guò)來(lái)的單播注冊(cè)報(bào)文，因此下游用戶(hù)就可以避免接收到非法的組播節(jié)目。為防止非法用戶(hù)將組播源接入到組播網(wǎng)絡(luò)中，可以在邊緣設(shè)備上配置組播源組過(guò)濾策略，只有屬于合法圍的組播源的數(shù)據(jù)才進(jìn)行處理。這樣既可以對(duì)組播報(bào)文的組地址進(jìn)行過(guò)濾，也可以對(duì)組播報(bào)文的源組地址進(jìn)行過(guò)濾。網(wǎng)絡(luò)信息安全保障體系建設(shè)全文共8頁(yè)，當(dāng)前為第7頁(yè)。組播流量擴(kuò)散安全性：在標(biāo)準(zhǔn)的組播中，接收者可以加入任意的組播組，也就是說(shuō)，組播樹(shù)的分枝是不可控的，信源不了解組播樹(shù)的圍與方向，安全性較低。為了實(shí)現(xiàn)對(duì)一些重要信息的保護(hù)，需要控制其擴(kuò)散圍，靜態(tài)組播樹(shù)方案就是為了滿(mǎn)足此需求而提出的。靜態(tài)組播樹(shù)將組播樹(shù)事先配置，控制組播樹(shù)的圍與方向，不接收其他動(dòng)態(tài)的組播成員的加入，這樣能使組播信源的報(bào)文在規(guī)定的圍擴(kuò)散。在網(wǎng)絡(luò)中，組播節(jié)目可能只需要一定直徑圍的用戶(hù)接收，可以在路由器上對(duì)轉(zhuǎn)發(fā)的組播報(bào)文的TTL數(shù)進(jìn)行檢查，只對(duì)大于所配置的TTL閾值的組播報(bào)文進(jìn)行轉(zhuǎn)發(fā)，因此可以限制組播報(bào)文擴(kuò)散到未經(jīng)授權(quán)的圍。組播用戶(hù)的管理：原有標(biāo)準(zhǔn)的組播協(xié)議